Éthique des données
L’éthique des données (« Big Data ethics » en anglais) désigne la réflexion et la mise en œuvre de bonnes pratiques relatives à la protection des données en particulier concernant le stockage et l'utilisation des données d'entreprises et des données personnelles.
Contexte
Dans un système numérique, les informations analogiques (texte, voix, image, etc.) sont codées dans un langage binaire. Avec la démocratisation de l'informatique, dans le monde de l'entreprise comme chez les particuliers, la quantité de données générées a crû de manière exponentielle. L'adoption de technologies comme la 5G ou l'internet des objets a contribué à cet essor.
En 2020, 64 zettaoctets (mille milliards de gigaoctets) de données ont été générées à l'échelle mondiale ; un volume qui pourrait atteindre plus de 180 zettaoctets en 2025[1].
Certaines données sont particulièrement sensibles. Dans le domaine de la santé, par exemple, des innovations telles que le séquençage génomique à haut débit, l'imagerie à haute résolution, les dossiers électroniques de patients, ou encore les dispositifs de santé connectés à Internet produisent des données sensibles et protégées[2].
C'est dans ce contexte que l'éthique des données est de plus en plus présente dans le domaine du numérique.
Principes
L’éthique des données s'articule autour de cinq principes[3] :
- Le principe de finalité, indiquant que l'enregistrement et l'utilisation de données personnelles peuvent uniquement avoir lieu si cela a un but précis.
- Le principe de proportionnalité et de pertinence, indiquant que les données personnelles utilisées doivent être strictement nécessaires pour l'obtention du but indiqué.
- La durée limitée de la conservation des données, indiquant que l'enregistrement des données personnelles doit avoir une limite dans le temps.
- La sécurité et la confidentialité, indiquant que l'organisme disposant des données personnelles doit s'assurer que seules les personnes autorisées puissent avoir accès aux données personnelles.
- Le respect du droit des personnes.
Exercice des droits
Les entreprises et les administrations peuvent générer et stocker des données d'utilisateurs. Cependant, depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD)[4] en , chaque service traitant des données personnelles, dénommé "responsable du traitement", doit se conformer avec le règlement européen et permettre à ses utilisateurs d'exercer leurs droits plus facilement (accès aux données détenues, rectification, suppression, droit à l'oubli, etc.). Pour ce faire, chaque organisme doit se doter d'un délégué à la protection des données (DPO)[5] qui servira de point de contact pour les utilisateurs.
Confidentialité des données
Certaines précautions sont à prendre pour assurer le respect de l'éthique des données[6] :
- Sensibiliser les utilisateurs
- Authentifier les utilisateurs
- Gérer les habilitations
- Tracer l’accès et gérer les incidents
- Sécuriser les postes de travail
- Sécuriser l’informatique mobile
- Protéger le réseau informatique interne
- Sécuriser les serveurs
- Sécuriser les sites web
- Sauvegarder et prévoir la continuité d’activité
- Archiver de manière sécurisée
- Encadrer la maintenance et la destruction des données
- Gérer la sous-traitance
- Sécuriser les échanges avec d’autres organismes
- Protéger les locaux
- Encadrer les développements informatiques
- Chiffrer, garantir l’intégrité ou signer les données
L’éthique des données des mineurs
Il est important que les données des mineurs, de plus en plus présents sur Internet, soient contrôlées et respectées. Les mineurs doivent notamment être informés quant à la collecte et à l’utilisation de leurs données. De plus, accompagner son enfant pour s'assurer que son utilisation d'internet est sécurisée est primordial. Pour cela, la CNIL (Commission Nationale de l'Informatique et des Libertés) préconise neuf conseils[7] :
- Garder le contrôle de l’ordinateur ou de la tablette
- Installer un système de contrôle parental
- Régler les options « vie privée » du navigateur et du moteur de recherche
- Régler ensemble les paramètres de confidentialité
- Garder l’œil ouvert sur les sites/applications qui ne garantissent pas un niveau minimum de confiance
- Se renseigner sur les sites/applications qui ne sont pas adaptés à l’âge de l'enfant
- Apprendre avec son enfant
- Échanger sur les notions de responsabilité et de respect
- Sensibiliser à la sécurité ou sécuriser les comptes
Actualités et législation
Les révélations d'Edward Snowden du ont marqué un tournant dans le débat public sur l'éthique des données.
Aux Pays-Bas, ING Bank a fait une déclaration publique sur ses intentions concernant l'utilisation des données et le scandale de données Facebook-Cambridge Analytica a révélé des pratiques de collecte de données personnelles pouvant concerner plus de 87 millions d'utilisateurs de Facebook[8].
Le , le Patriot Act entre en vigueur aux États-Unis et ouvre la voie à la surveillance de masse des citoyens américains par les forces de sécurité afin d'identifier et de prévenir les actes terroristes.
Le , le Règlement Général sur la Protection des Données (RGPD) entre en vigueur dans l'ensemble de l'Union européenne. Il oblige les responsables de traitement (entités qui stockent et traitent les données personnelles) à informer les « personnes concernées » des données personnelles qui sont utilisées et des traitements qui leur sont appliqués. Ce règlement impose d'obtenir le consentement des personnes pour stocker et traiter leurs données personnelles.
En France, ce règlement est adapté par la loi "Informatique et Libertés"[9]. L'article 45 du texte précise que ce qui est usuellement appelé "majorité numérique" est fixée à 15 ans sur le territoire national[10].
Le règlement européen "Data Governance Act", qui entre en vigueur le 24 septembre 2023, prévoit des dispositifs encadrant les données du secteur public, la création d'une catégorie juridique de "services d'intermédiation de données" qui facilitera l'échange de données d'entreprises et fixe les principe de collecte massive de données ("Scraping")[11].
Toujours à l'échelle européenne, l'IA Act qui vise à encadrer le développement de l’intelligence artificielle, actuellement (2023) en discussion au Parlement européen, devrait contenir des mesures de protection, de transparence, de sécurité et d’éthique des données[12].
Notes et références
- Statista - Tristan Gaudiaut, « Le Big Bang du Big Data », sur Statista, (consulté le )
- « Données de santé », sur Cnil (consulté le )
- « Quels sont les grands principes des règles de protection des données personnelles ? | Besoin d'aide | CNIL », sur www.cnil.fr (consulté le )
- « Comprendre le RGPD | CNIL », sur www.cnil.fr (consulté le )
- « Le délégué à la protection des données (DPO) », sur Cnil (consulté le )
- « Guide de la sécurité des données personnelles | CNIL », sur www.cnil.fr (consulté le )
- « Accompagnez votre enfant pour un usage d’internet plus sûr | CNIL », sur www.cnil.fr (consulté le )
- Amaelle Guiton, « Facebook, le scandale de trop ? », sur Libération (consulté le )
- « Loi Informatique et Libertés » (consulté le )
- « Protection des données personnelles : essentiel loi CNIL », sur vie-publique (consulté le )
- Anne Charlotte Andrieux et Antoine Kraska-Delsol, « Qu'est-ce que le Data Governance Act, le nouveau règlement européen ? », sur Haas Avocats (consulté le )
- Lucie Lequier, « 7 questions sur l’IA Act, le projet européen de réglementation de l’intelligence artificielle », sur Numerama, (consulté le )